Warnung Ressourcentyp
Namespace: microsoft.graph.security
Diese Ressource entspricht dem neuesten Batch von Warnungen, die von der Microsoft Graph-Sicherheits-API generiert wurden. Diese Ressource stellt potenzielle Sicherheitsprobleme innerhalb des Mandanten eines Kunden dar, die Von Microsoft 365 Defender oder einem in Microsoft 365 Defender integrierten Sicherheitsanbieter identifiziert wurden.
Wenn ein Sicherheitsanbieter eine Bedrohung erkennt, wird eine Warnung im System erstellt. Microsoft 365 Defender ruft diese Warnungsdaten vom Sicherheitsanbieter ab und nutzt die Warnungsdaten, um in einer Warnungsressource wertvolle Hinweise zu verwandten Angriffen, betroffenen Ressourcen und zugehörigen Beweisen zurückzugeben. Es korreliert automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer mit einem Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Das Zusammenfassen von Benachrichtigungen erleichtert es Analytikern, Bedrohungen kollektiv zu untersuchen und darauf zu reagieren.
Hinweis
Diese Ressource ist einer der beiden Arten von Warnungen, die die Version v1.0 der Microsoft Graph-Sicherheits-API bietet. Weitere Informationen finden Sie unter Warnungen.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | microsoft.graph.security.alert-Sammlung | Rufen Sie eine Liste der Warnungsressourcen ab, die erstellt wurden, um verdächtige Aktivitäten in einer Organisation nachzuverfolgen. |
| Get | microsoft.graph.security.alert | Ruft die Eigenschaften eines Warnungsobjekts in einer Organisation basierend auf der angegebenen Warnungs-ID-Eigenschaft ab. |
| Update | microsoft.graph.security.alert | Aktualisieren Sie die Eigenschaften eines Warnungsobjekts in einer Organisation basierend auf der angegebenen Warnungs-ID-Eigenschaft . |
| Kommentar erstellen | AlertComment | Erstellen Sie einen Kommentar für eine vorhandene Warnung basierend auf der angegebenen Warnungs-ID-Eigenschaft . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| actorDisplayName | Zeichenfolge | Der Angreifer oder die Aktivitätsgruppe, die dieser Warnung zugeordnet ist. |
| additionalData | microsoft.graph.security.dictionary | Eine Sammlung anderer Warnungseigenschaften, einschließlich benutzerdefinierter Eigenschaften. Alle in der Warnung definierten benutzerdefinierten Details und alle dynamischen Inhalte in den Warnungsdetails werden hier gespeichert. |
| alertPolicyId | Zeichenfolge | Die ID der Richtlinie, die die Warnung generiert hat, und wird aufgefüllt, wenn eine bestimmte Richtlinie vorhanden ist, die die Warnung generiert hat, unabhängig davon, ob sie von einem Kunden oder einer integrierten Richtlinie konfiguriert wurde. |
| alertWebUrl | Zeichenfolge | URL für die Warnungsseite des Microsoft 365 Defender-Portals. |
| assignedTo | Zeichenfolge | Besitzer der Warnung oder NULL, wenn kein Besitzer zugewiesen ist. |
| category | String | Die Angriffs-Kill-Chain-Kategorie, zu der die Warnung gehört. Ausgerichtet auf das MITRE ATT&CK-Framework. |
| classification | microsoft.graph.security.alertClassification | Gibt an, ob die Warnung eine echte Bedrohung darstellt. Mögliche Werte: unknown, falsePositive, truePositive, informationalExpectedActivity, unknownFutureValue. |
| Kommentare | microsoft.graph.security.alertComment-Sammlung | Array von Kommentaren, die vom Security Operations (SecOps)-Team während des Warnungsverwaltungsprozesses erstellt wurden. |
| createdDateTime | DateTimeOffset | Zeitpunkt, zu dem Microsoft 365 Defender die Warnung erstellt hat. |
| description | Zeichenfolge | Zeichenfolgenwert, der jede Warnung beschreibt. |
| detectionSource | microsoft.graph.security.detectionSource | Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, antivirus, smartScreen, customTi, microsoftDefenderForOffice365, automatedInvestigation, microsoftThreatExpertsmicrosoftDefenderThreatIntelligenceAnalyticsscheduledAlertsnrtAlertsmicrosoftSentinelmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftDefenderForKeyVaultmicrosoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForContainersmicrosoftDefenderForDNSmicrosoftDefenderForDatabasesmicrosoftDefenderForStoragemicrosoftDefenderForServersmicrosoftDefenderForIoTmicrosoftDefenderForCloudunknownFutureValuecustomDetectionappGovernanceDetectionappGovernancePolicymicrosoftDefenderForIdentitymanualcloudAppSecuritymicrosoft365DefenderazureAdIdentityProtectionmicrosoftDataLossPrevention. builtInMl Sie müssen den Prefer: include-unknown-enum-members Anforderungsheader verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftDefenderForIoT, microsoftDefenderForDNSmicrosoftDefenderForStoragemicrosoftDefenderForServersmicrosoftDefenderForDatabases, microsoftDefenderForContainers, . microsoftDefenderForNetworkmicrosoftDefenderForAppServicemicrosoftDefenderForKeyVaultmicrosoftDefenderForResourceManagermicrosoftDefenderForApiManagementmicrosoftSentinelnrtAlertsscheduledAlertsmicrosoftDefenderThreatIntelligenceAnalyticsbuiltInMl |
| detectorId | Zeichenfolge | Die ID des Detektors, der die Warnung ausgelöst hat. |
| Entschlossenheit | microsoft.graph.security.alertDetermination | Gibt das Ergebnis der Untersuchung an, ob die Warnung einen echten Angriff darstellt, und wenn ja, die Art des Angriffs. Mögliche Werte sind: unknown, apt, malware, securityPersonnel, securityTesting, unwantedSoftware, other, multiStagedAttack, compromisedAccount, phishing, maliciousUserActivity, notMalicious, notEnoughDataToValidate, confirmedUserActivity, lineOfBusinessApplication, unknownFutureValue. |
| Beweis | microsoft.graph.security.alertEvidence-Sammlung | Sammlung von Beweisen im Zusammenhang mit der Warnung. |
| firstActivityDateTime | DateTimeOffset | Die früheste Aktivität, die der Warnung zugeordnet ist. |
| id | Zeichenfolge | Eindeutiger Bezeichner zur Darstellung der Warnungsressource . |
| incidentId | Zeichenfolge | Eindeutiger Bezeichner, der den Incident darstellt, dem diese Warnungsressource zugeordnet ist. |
| incidentWebUrl | Zeichenfolge | URL für die Incidentseite im Microsoft 365 Defender-Portal. |
| lastActivityDateTime | DateTimeOffset | Die älteste Aktivität, die der Warnung zugeordnet ist. |
| lastUpdateDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung zuletzt bei Microsoft 365 Defender aktualisiert wurde. |
| mitreTechniques | Collection(Edm.String) | Die Angriffstechniken, die auf das MITRE ATT&CK-Framework abgestimmt sind. |
| productName | Zeichenfolge | Der Name des Produkts, das diese Warnung veröffentlicht hat. |
| providerAlertId | Zeichenfolge | Die ID der Warnung, wie sie im Sicherheitsanbieterprodukt angezeigt wird, das die Warnung generiert hat. |
| recommendedActions | Zeichenfolge | Empfohlene Reaktions- und Wartungsaktionen für den Fall, dass diese Warnung generiert wurde. |
| resolvedDateTime | DateTimeOffset | Zeitpunkt, zu dem die Warnung aufgelöst wurde. |
| serviceSource | microsoft.graph.security.serviceSource | Der Dienst oder das Produkt, das bzw. das diese Warnung erstellt hat. Mögliche Werte sind: unknown, microsoftDefenderForEndpoint, microsoftDefenderForIdentity, microsoftDefenderForCloudApps, microsoftDefenderForOffice365, microsoft365Defender, azureAdIdentityProtection, microsoftAppGovernance, dataLossPrevention, unknownFutureValue, microsoftDefenderForCloud und microsoftSentinel. Sie müssen den Prefer: include-unknown-enum-members Anforderungsheader verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: microsoftDefenderForCloud, microsoftSentinel. |
| Schweregrad | microsoft.graph.security.alertSeverity | Gibt die möglichen Auswirkungen auf Ressourcen an. Je höher der Schweregrad, desto größer die Auswirkung. Elemente mit höherem Schweregrad erfordern in der Regel die unmittelbarste Aufmerksamkeit. Mögliche Werte sind: unknown, informational, low, medium, high und unknownFutureValue. |
| status | microsoft.graph.security.alertStatus | Der Status der Warnung. Mögliche Werte: new, inProgress, resolved, unknownFutureValue |
| tenantId | Zeichenfolge | Der Microsoft Entra-Mandant, in dem die Warnung erstellt wurde. |
| threatDisplayName | Zeichenfolge | Die dieser Warnung zugeordnete Bedrohung. |
| threatFamilyName | Zeichenfolge | Dieser Warnung zugeordnete Bedrohungsfamilie. |
| title | String | Kurze Identifizierung des Zeichenfolgenwerts, der die Warnung beschreibt. |
| systemTags | String collection | Die der Warnung zugeordneten Systemtags. |
alertClassification-Werte
| Member | Beschreibung |
|---|---|
| unknown | Die Warnung ist noch nicht klassifiziert. |
| falsePositive | Die Warnung ist falsch positiv und hat keine schädliche Aktivität erkannt. |
| truePositive | Die Warnung ist richtig positiv und hat eine schädliche Aktivität erkannt. |
| informationalExpectedActivity | Die Warnung ist gutartig positiv und hat potenziell schädliche Aktivitäten von einem vertrauenswürdigen/internen Benutzer erkannt, z. B. Sicherheitstests. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertDetermination-Werte
| Member | Beschreibung |
|---|---|
| unknown | Es wurde noch kein Ermittlungswert festgelegt. |
| passend | Eine wahr positive Warnung, die eine erweiterte persistente Bedrohung erkannt hat. |
| Schadsoftware | Eine wahr positive Warnung, die Schadsoftware erkannt hat. |
| securityPersonnel | Eine wahr positive Warnung, die gültige verdächtige Aktivitäten erkannt hat, die eine Person im Sicherheitsteam des Kunden ausgeführt hat. |
| SicherheitTesting | Die Warnung hat gültige verdächtige Aktivitäten erkannt, die im Rahmen eines bekannten Sicherheitstests ausgeführt wurden. |
| unwantedSoftware | Die Warnung hat unerwünschte Software erkannt. |
| andere | Sonstige Bestimmung. |
| multiStagedAttack | Eine wahr positive Warnung, die mehrere Kill-Chain-Angriffsphasen erkannt hat. |
| compromisedAccount | Eine wahr positive Warnung, die festgestellt hat, dass die Anmeldeinformationen des beabsichtigten Benutzers kompromittiert oder gestohlen wurden. |
| Phishing | Eine wahr positive Warnung, die eine Phishing-E-Mail erkannt hat. |
| maliciousUserActivity | Eine wahr positive Warnung, die erkannt hat, dass der angemeldete Benutzer schädliche Aktivitäten ausführt. |
| notMalicious | Eine falsche Warnung, keine verdächtige Aktivität. |
| notEnoughDataToValidate | Eine falsche Warnung, ohne dass genügend Informationen vorhanden sind, um das Gegenteil zu beweisen. |
| confirmedActivity | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als OK angesehen wird, da es sich um eine bekannte Benutzeraktivität handelt. |
| lineOfBusinessApplication | Die Warnung hat eine wahr verdächtige Aktivität abgefangen, die als ok angesehen wird, da es sich um eine bekannte und bestätigte interne Anwendung handelt. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertSeverity-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannter Schweregrad. |
| mitteilsam | Warnungen, die möglicherweise nicht umsetzbar sind oder als schädlich für das Netzwerk gelten, aber das Sicherheitsbewusstsein der Organisation bei potenziellen Sicherheitsproblemen fördern können. |
| Niedrig | Warnungen zu Bedrohungen im Zusammenhang mit weit verbreiteter Schadsoftware. Beispielsweise Hack-Tools, Nicht-Antischadsoftware-Hack-Tools wie das Ausführen von Explorationsbefehlen und das Löschen von Protokollen, die häufig nicht auf eine erweiterte Bedrohung hinweisen, die auf die Organisation abzielt. Es kann auch von einem isolierten Sicherheitstool stammen, das ein Benutzer in Ihrer Organisation testet. |
| medium | Warnungen, die aus Erkennungen und Reaktionen nach einem Sicherheitsverletzungsverhalten generiert werden, die Teil einer Advanced Persistent Threat (APT) sein können. Dieser Schweregrad umfasst beobachtete Verhaltensweisen, die typisch für Angriffsphasen, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. sind. Obwohl einige auf interne Sicherheitstests zurückzuführen sein können, sind sie gültige Erkennungen und erfordern eine Untersuchung, da sie Möglicherweise Teil eines erweiterten Angriffs sind. |
| Hoch | Warnungen, die häufig im Zusammenhang mit advanced persistent threats (APT) angezeigt werden. Diese Warnungen weisen auf ein hohes Risiko aufgrund der Schwere der Schäden hin, die sie an Vermögenswerten anrichten können. Einige Beispiele sind: Aktivitäten zum Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten, die keiner Gruppe zugeordnet sind, Manipulation von Sicherheitssensoren oder böswillige Aktivitäten, die auf einen menschlichen Angreifer hindeuten. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
alertStatus-Werte
| Member | Beschreibung |
|---|---|
| unknown | Unbekannter Status. |
| Neu | Neue Warnung. |
| inProgress | Die Warnung wird in Der Entschärfung ausgeführt. |
| resolved | Die Warnung befindet sich im aufgelösten Zustand. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
serviceSource-Werte
| Wert | Beschreibung |
|---|---|
| unknown | Unbekannte Dienstquelle. |
| microsoftDefenderForEndpoint | Microsoft Defender für Endpunkt. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| microsoftDefenderForCloudApps | Microsoft Defender for Cloud Apps. |
| microsoftDefenderForOffice365 | Microsoft Defender für Office365. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| microsoftAppGovernance | Microsoft-App-Governance. |
| dataLossPrevention | Microsoft Purview Data Loss Prevention( Verhinderung von Datenverlust). |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftSentinel | Microsoft Sentinel. |
detectionSource-Werte
| Wert | Beschreibung |
|---|---|
| unknown | Unbekannte Erkennungsquelle. |
| microsoftDefenderForEndpoint | Microsoft Defender für Endpunkt. |
| Antivirenprogramm | Antivirensoftware. |
| smartScreen | Microsoft Defender SmartScreen. |
| customTi | Benutzerdefinierte Threat Intelligence. |
| microsoftDefenderForOffice365 | Microsoft Defender für Office 365. |
| automatedInvestigation | Automatisierte Untersuchung. |
| microsoftThreatExperts | Microsoft-Bedrohungsexperten. |
| customDetection | Benutzerdefinierte Erkennung. |
| microsoftDefenderForIdentity | Microsoft Defender for Identity. |
| cloudAppSecurity | Cloud-App-Sicherheit. |
| microsoft365Defender | Microsoft 365 Defender. |
| azureAdIdentityProtection | Microsoft Entra ID Protection. |
| Manuell | Manuelle Erkennung. |
| microsoftDataLossPrevention | Microsoft Purview Data Loss Prevention( Verhinderung von Datenverlust). |
| appGovernancePolicy | App-Governance-Richtlinie. |
| appGovernanceDetection | App-Governance-Erkennung. |
| unknownFutureValue | Wert des Sentinelwerts für die vervolvbare Enumeration. Nicht verwenden. |
| microsoftDefenderForCloud | Microsoft Defender for Cloud. |
| microsoftDefenderForIoT | Microsoft Defender für IoT. |
| microsoftDefenderForServers | Microsoft Defender für Server. |
| microsoftDefenderForStorage | Microsoft Defender für Storage. |
| microsoftDefenderForDNS | Microsoft Defender für DNS. |
| microsoftDefenderForDatabases | Microsoft Defender für Datenbanken. |
| microsoftDefenderForContainers | Microsoft Defender für Container. |
| microsoftDefenderForNetwork | Microsoft Defender für Netzwerk. |
| microsoftDefenderForAppService | Microsoft Defender für App Service. |
| microsoftDefenderForKeyVault | Microsoft Defender für Key Vault. |
| microsoftDefenderForResourceManager | Microsoft Defender für Resource Manager. |
| microsoftDefenderForApiManagement | Microsoft Defender für Api Management. |
| microsoftSentinel | Microsoft Sentinel. |
| nrtAlerts | Sentinel NRT-Warnungen. |
| scheduledAlerts | Geplante Sentinel-Warnungen. |
| microsoftDefenderThreatIntelligenceAnalytics | Sentinel Threat Intelligence-Warnungen. |
| builtInMl | Integriertes Ml von Sentinel. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.security.alert",
"id": "String (identifier)",
"providerAlertId": "String",
"incidentId": "String",
"status": "String",
"severity": "String",
"classification": "String",
"determination": "String",
"serviceSource": "String",
"detectionSource": "String",
"productName": "String",
"detectorId": "String",
"tenantId": "String",
"title": "String",
"description": "String",
"recommendedActions": "String",
"category": "String",
"assignedTo": "String",
"alertWebUrl": "String",
"incidentWebUrl": "String",
"actorDisplayName": "String",
"threatDisplayName": "String",
"threatFamilyName": "String",
"mitreTechniques": [
"String"
],
"createdDateTime": "String (timestamp)",
"lastUpdateDateTime": "String (timestamp)",
"resolvedDateTime": "String (timestamp)",
"firstActivityDateTime": "String (timestamp)",
"lastActivityDateTime": "String (timestamp)",
"comments": [
{
"@odata.type": "microsoft.graph.security.alertComment"
}
],
"evidence": [
{
"@odata.type": "microsoft.graph.security.alertEvidence"
}
],
"systemTags" : [
"String",
"String"
],
"additionalData": {
"@odata.type": "microsoft.graph.security.dictionary"
}
}